В статье описаны стандартные способы разграничения прав доступа в Windows и опасность их использования. Даны основные понятия, касаемо средств защиты информации (СЗИ). Выделены преимущества использования средств защиты информации на предприятиях.
Ключевые слова: разграничение доступа, доступ, пароль Windows, BIOS, смена пароля, системное администрирование, информационная безопасность, средства защиты информации
Многие организации, которые изрядно далеки от такого понятия, как «информационная безопасность», никогда не испытывали потребности в специальной защите информации или защите рабочих мест пользователей от самих же сотрудников. Как правило, всё ограничивается документом «Соглашение о неразглашении конфиденциальной информации», которое идёт приложением к трудовому договору. Но это не значит, что сотрудник не имеет права делать с компьютером на рабочем месте всё что захочет, ведь это не порча имущества.
В чём опасность отсутствия защиты служебного компьютера от персонала? В наше время любой человек может быстро получить доступ практически к любому пиратскому программному обеспечению, что может повлечь административную или даже уголовную ответственность не только относительно сотрудника, но и относительно самого предприятия. Также, недостаточно квалифицированный пользователь может нарушить работоспособность необходимого для трудового процесса программного обеспечения, что повлечёт за собой временный рабочий застой кадра.
На многих предприятиях используется самое простое разграничение доступа — по глобальным правам с созданием учётной записи Windows. В итоге получается две учётных записи: Запись администратора с полными правами (защищена паролем) и запись пользователя с ограниченными правами (как правило не защищённая паролем). Системные администраторы, построив такую систему разграничения доступа слепо верят тому, что это безотказная система защиты. Этот способ имел бы место быть, если нельзя было бы изменить этот пароль из-под загрузчика Windows или его же дистрибутива. Таким образом, зная одну команду интерпретатора командной строки и способ загрузки с диска, который имеет в себе дистрибутив, учётная запись администратора оказывается открытой.
Следующая ситуация, когда системный администратор закрывает доступ к BIOS служебного компьютера при помощи парольной защиты, полагая, что пользователь никак не сможет загрузить дистрибутив с диска или флеш-памяти. Если служебный компьютер имеет место быть в виде стационарного персонального компьютера, то сбросить пароль к BIOS можно через механический доступ к материнской плате. А если не брать во внимание вид персонального компьютера, то каждый тип и версия BIOS имеет свой универсальный код, с помощью которого можно получить доступ к нужному разделу BIOS без заранее придуманного пароля.
Стоит отметить тот факт, что при использовании компьютера с ограниченными правами, стороннему программному обеспечению зачастую требуются права администратора для его запуска или выполнения каких-либо операций. Тогда системный администратор использует необходимые в этом случае скрипты RunAs или дополнительные утилиты, например, AdmiLink. Всё это позволяет запускать определённую программу с правами администратора из-под учётной записи с ограниченными возможностями. Но и тут кроется ошибка. Достаточно в данной запущенной программе найди «Справку» или одно из функциональных окон «Открыть…», «Сохранить как…». Тогда сотрудник имеет возможность запустить интерпретатор командной строки и сменить (либо вовсе убрать) пароль администратора или даже сменить права данной учётной записи на административные.
Таким образом, можно сделать вывод, что стандартными средствами Windows невозможно создать допустимое для предприятия разграничение доступа без возможности получения сотрудником прав доступа выше необходимых. Именно с целью устранения данных проблем были созданы средства защиты информации.
Средства защиты информации (СЗИ) — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
Средства защиты информации бывают трёх видов:
– Аппаратные — технические устройства, предназначенные для защиты информации.
– Программные — программное обеспечение (или комплекс программ), предназначенные для защиты информации.
– Смешанные (аппаратно-программные) — средства защиты информации, которые включают в себя как аппаратные средства, так и программные, которые плотно взаимодействуют друг с другом.
Целесообразнее и надёжнее ставить смешанный тип средств защиты информации, но, дешевле и проще, если того не требует информационная система, поставить программный комплекс для защиты информации.
Зачастую программные средства защиты информации включают в себя ряд следующих защитных функций:
– контроль входа пользователей в систему;
– разграничение доступа пользователей к устройствам компьютера;
– создание для пользователей ограниченной замкнутой среды программного
– обеспечения компьютера (замкнутой программной среды);
– разграничение доступа пользователей к конфиденциальным данным;
– контроль потоков конфиденциальной информации;
– контроль вывода конфиденциальных данных на печать;
– контроль целостности защищаемых ресурсов;
– контроль аппаратной конфигурации компьютера;
– функциональный контроль ключевых компонентов;
– уничтожение (затирание) содержимого файлов при их удалении;
– регистрация событий безопасности в журнале;
– мониторинг и оперативное управление защищаемыми компьютерами;
– централизованный сбор и хранение журналов;
– централизованное управление параметрами механизмов защиты.
Самыми популярными системами защиты информации являются Secret Net и Dallas Lock. У них изрядно отличается функционал. Кому-то удобнее работать с Dallas Lock, кому-то с Secret Net. У каждого из них есть свои минусы. Какое СЗИ выбрать для своего предприятия? Каждый должен найти ответ на этот вопрос сам, так как он зависит от того, что и как нужно защищать.
Литература:
1. Средство защиты информации Secret Net 6. Руководство администратора. Принципы построения. — М.: Код Безопасности, 2010. — 37 с.
2. Система защиты информации от несанкционированного доступа Dallas Lock 8.0-C. Руководство по эксплуатации. — СПб.: Dallas Lock, 2012. — 213 с.
3. Программно-аппаратные средства защиты информации: учебник для студ. учреждений высш. проф. образования / В. В.Платонов. — М.: Издательский центр «Академия», 2013. — 336 с.
